GE Digital WurldtechのTom Le氏によれば、産業用のモノのインターネット(IIoT)で適切に安全性を確保するには、ITとOT(運用技術:Operational Technology)を組み合わせたアプローチが重要だという。Le氏は、サンフランシスコで開催された「Structure Security 2016」カンファレンスで、産業用IoTが直面しているさまざまな課題について語った。
一般のIoTと産業用IoTの最大の違いは、産業用IoTへの攻撃が成功してしまった場合、物理的な悪影響が発生する可能性があることだ。従来のIoTに対する攻撃では、危険に晒されていたのはデータやプライバシーだったが、Le氏によれば、産業用IoTに対する攻撃は、ともすれば人間の安全に対するリスクや、環境に対するダメージ、大規模なシステム障害などを引き起こす可能性がある。
Le氏は、デバイスがどれだけ使用されているかに応じて、エンドポイントを3つに分類している。スマートフォンやノートPCなどの標準的なエンドポイントは、優れたセキュリティを備えているが、スマート家電などの中間レベルのデバイスや、ネットに接続されたカメラやその他のローエンドのデバイスは、現在は貧弱なセキュリティしか備えていない。
産業用IoTのセキュリティについては、エアギャップという考え方もある。これは、デバイスを安全でないネットワークから隔離することによって、産業用IoTシステムのセキュリティが確保されているというものだ。しかしLe氏は、IoTデバイスは「間接的な接続」に晒されており、この考え方が成立するというのは幻想だと述べている。
しかも、IoTがもたらしうるメリットに対する期待から、安全性が確保されていないさらなる数のデバイスが急速にネットワークに接続されつつあると同氏は言う。
一般のIoTと産業用IoTのもう1つの違いは、使用されているアセットの性質だ。スマートフォン、ルータ、ノートPCなどのIT分野のアセットは、2年程度の早いサイクルで交換される傾向が強く、アップデートが容易だという特徴がある。
しかし産業分野のデバイスの制御や運用を行う、いわゆるOT分野のアセットのライフサイクルは40年にも及ぶ場合がある。また、メンテナンス周期がかなり長く、数年単位の場合もある。さらにこれらのシステムの多くは、アップデートを行うことが難しい。Le氏によれば、産業用システムの管理には今でも多くの「Windows XP」システムが使われていることを同氏は認識しているが、これらのシステムのアップデートは困難で、追加費用も必要になる。
このため、産業用システムについては「変化が及ぼす脅威が、サイバー脅威よりも大きい場合も多い」とLe氏は述べる。
提供:iStockphoto/TomasSereda
